开源网络安全监控平台—Security Onion

 

01简介

安全洋葱（Security Onion）是一个免费的开源平台，用于网络、主机和企业安全监控和日志管理（收集和后续分析）。

凭借可用的软件包集合，Security Onion为高需求的事件响应和取证用例提供了一个最佳的、高度可扩展的解决方案。

安全洋葱有丰富的数据收集，安全分析，数据分析和可视化组件。它包括TheHive、Playbook、Fleet、osquery、CyberChef、Elasticsearch、Logstash、Kibana、Suricata、Zeek、Wazuh和许多其他工具。

Security Onion已被下载超过 200万次，并被世界各地的安全团队用于监控和保护他们的企业。

02功能

在传统企业网络中，我们可以使用 Security Onion：

1.监控南北流量，以检测外部人员侵入内部环境。

2.监控内部数据流动以检测异常的横向渗透攻击。

3.仅靠网络数据分析并不充分，因为越来越多的应用使用加密的方式传输数据，SecurityOnion通过终端遥测形式的来弥补这些盲点。

4.Security Onion还可以收集来自您的服务器和工作站的日志，以便发现网络中的异常。

03部署架构

如果要在企业网络内部署 Security Onion，我们首先需要根据企业网络状况和功能需求选择部署架构。

SecurityOnion提供了导入模式，评估模式，独立模式，分布式4种部署架构。

一般情况下，小型的办公网络或实验室可以使用独立模式，对于大型的企业网络，建议使用分布式部署架构。

3.1.导入架构，这是最简单的架构，只有1个Import节点。

在节点上可以使用so-import-pcap导入pcap捕捉的数据，再使用Suricata和Zeek进行分析，分析结果导入Elasticsearch，然后通过安全洋葱控制台（SOC）来查看。

3.2.评估架构，主要用于快速安装临时测试评估SecurityOnion，并不适用于正式的网络环境。

比导入架构稍微复杂，可以直接从TAP（网络分流器）抓取并分析数据包。

3.3.独立模式，不具扩展性，一般用于测试，实验室，POC或网络流量非常小的环境。

在评估模式下增加了2个LogStash管道，可以将多种来源的数据转换后存储到Redis以及从Redis提取数据到Elasticsearch。

3.4.分布式，官方推荐的部署模式，可扩展性强，性能更高。

由1个管理节点，多个转发节点和多个搜索节点组成（另外一种重负载节点的分布式方式因性能不高，不在本文内介绍）

3.4.1．管理节点：

管理员或分析人员从自己的电脑通过Web或者SSH连接到管理器节点以执行查询和检索数据。

管理节点的主要处理数据存储，搜索，分析，显示及预警。

3.4.2．转发节点：

相当于网络中的传感器，利用FileBeat或WinLogBeat将所有日志转发到管理节点上的Logstash。

3.4.3．搜索节点：

使用Elasticsearch的跨集群搜索实现分布式部署。它会创建一个本地Elasticsearch实例，然后配置管理器节点以查询该实例。

搜索节点从管理器节点上的Redis队列中提取日志，然后解析这些日志并建立索引。当用户查询管理节点时，管理节点再查询存储节点，并返回搜索结果。

04其他

4.1.硬件要求

导入模式（最低要求）：

• 4GB内存
• 2个 CPU内核
• 200GB存储空间

其他模式：

• 12GB内存
• 4个 CPU内核
• 200GB存储空间

建议双网卡，其中一个专用于管理网络，一个用于网络嗅探。

4.2.安装镜像建议从SecurityOnion官网下载，最新版本2.3，官网ISO镜像包含了CentOS7X64和SecurityOnion相关组件。

SecurityOnion目前仅支持在CentOS 7X64和Ubuntu 18.04上运行。

最后我们看看Security Onion可视化界面

对于进一步的安装，配置，操作及数据分析有兴趣可以关注我。